L’hôtelier a un devoir de sécurité renforcée vis-à-vis de ses clients. Cette obligation contractuelle couvre tous les aspects de la vie privée du client, allant de la protection de sa personne et de ses biens, jusqu’à celle de son image, de ses données personnelles et confidentielles.
Un avenant aux contrats de gestion hôteliers en cours paraît nécessaire
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Aliquam ultricies mauris vitae nibh semper porttitor. Donec eget enim non enim tristique porta ac vitae eros. Aenean at convallis purus. Pellentesque habitant morbi tristique senectus et netus et malesuada fames ac turpis egestas. Nam nec mi tristique, tincidunt libero ut, pretium arcu.
L’heure est donc à la mobilisation des hôteliers sur ces questions
Comment les aborder lorsque les propriétaires d’hôtel négocient un contrat de management avec des enseignes hôtelières ?
La responsabilité de la gestion opérationnelle de l’hôtel est confiée à l’enseigne hôtelière. Le propriétaire conserve pour sa part la responsabilité juridique et financière de son bien. Il arrête chaque année avec le professionnel hôtelier le budget et s’accorde sur les grandes lignes des investissements et de l’exploitation de l’hôtel et il s’assure de leur exécution. Le mandat de gestion hôtelier relève des articles 1984 et suivants du Code Civil : le propriétaire-mandant est donc responsable des agissements de son gestionnaire-mandataire2.
Depuis le 25 mai 2018 et en application de la nouvelle règlementation, un avenant/annexe au mandat de gestion hôtelier s’impose pour aménager la gestion des données à caractère personnel et la répartition des responsabilités respectives du propriétaire-mandant et du gestionnaire-mandataire dans le traitement de ces données.
En effet, le responsable de traitement des données est en principe celui (personne physique ou morale) qui détermine les finalités et les moyens du traitement des données.
Dans les faits, ce responsable de traitement peut donc être aussi bien le mandant que le mandataire, selon les traitements de données que chacun effectue. Cela va dépendre de la description et de l’étendue du contrat de management hôtelier et des obligations souscrites par les parties.
Le non-respect de la réglementation issue du RGPD peut exposer l’hôtelier à différents types de poursuites :
- poursuites administratives, mises en oeuvre par la CNIL, soit sur plainte d’une victime, d’un salarié, d’une association de consommateurs…, soit lors d’un contrôle.
- poursuites civiles, engagées directement par les victimes qui invoquent un préjudice résultant d’un traitement illégal de leurs données personnelles.
- et éventuellement des poursuites pénales.
Il est donc nécessaire d’adapter le mandat de gestion hôtelier au risque RGPD
A l’occasion de la gestion d’un hôtel assurée par un mandat de gestion hôtelier, on constate que des collectes de données peuvent être opérées soit par le propriétaire, soit par le gestionnaire qui est en général celui qui gère et qui bénéficie des informations recueillies.
Du point de vue du mandant également propriétaire du fonds de commerce hôtelier, ce dernier prendra soin d’insérer dans le contrat de gestion hôtelier une clause détaillée par laquelle son enseigne hôtelière déclare être parfaitement en règle avec la législation régissant la protection des données personnelles. Le gestionnaire s’engagera également à assumer les responsabilités qui lui sont dévolues à cet égard conformément à la législation applicable.
Dès lors, tout manquement du gestionnaire constaté par un membre du personnel ou un client de l’hôtel constituerait également une violation des engagements pris par le gestionnaire à l’encontre du mandant, permettant à ce dernier de dégager sa responsabilité.
Mais pour tenir compte de l’éventuelle collecte de données par le propriétaire mandant, il est également très important que le mandat de gestion détaille quelles sont les données transmises par ce dernier et quelles seront les responsabilités, éventuellement croisées, du mandant et du mandataire dans la protection de ces données.
Lorsque le contrat de gestion est déjà en cours d’exécution, on recommandera de rédiger dans le détail un avenant pour régler ces questions nouvelles liées à l’application du RGPD.
Au-delà du contrat de mandat, les hôteliers doivent mettre leurs établissements en conformité avec la réglementation sur le traitement des données en adoptant notamment une politique de confidentialité à destination des clients et une charte à destination du personnel, aussi bien pour établir des normes techniques applicables à la gestion des données, que pour sensibiliser toute personne qui, au sein de l’hôtel, sera conduite à gérer des données à caractère personnel, et d’une manière générale, après un audit spécifique, la mise en place du registre des traitements requis par la réglementation.
Ces documents contiendront notamment les droits et obligations du personnel sur la protection des données, ainsi que les bonnes pratiques d’utilisation des systèmes d’information.
L’encadrement des différents traitements des données des clients est d’autant plus important qu’on assiste aujourd’hui à une augmentation des risques : par exemple du fait de l’accroissement des actes de piratage informatique (logiciels malveillants en tous genres) ou suite à des vols de données par des salariés indélicats et peu scrupuleux (malheureusement, le danger vient souvent de l’intérieur).
Cette augmentation des risques, face à l’augmentation du poids des sanctions, requiert de mettre son établissement hôtelier en conformité et de « faire vivre » cette conformité dans l’établissement hôtelier : à titre d’illustration, la règlementation oblige désormais à déclarer toute faille de sécurité (piratage, vol de donnée ou perte de donnée…) dans les 72 h et également d’enregistrer les réclamations des clients au sujet de leurs données et d’y répondre. Ceci doit être tracé et inscrit dans le registre des traitements, sous peine d’encourir les mêmes sanctions administratives, civiles et pénales.
Cette mise en conformité s’effectue sous la responsabilité du gestionnaire de l’hôtel pour les membres du personnel de l’hôtel. Il est vraisemblable que dans le cas d’un mandat de gestion hôtelier inversé, la responsabilité du gestionnaire en sera accrue et on voit mal celui-ci s’affranchir de sa responsabilité dans l’exécution du contrat de management hôtelier.
En conclusion, la réglementation applicable à la protection des données
© Photo
Christopher Boinet
Avocat associé - In Extenso Avocats
Sarra Jougla-Ygouf
Avocate associée In EXtenso Avocats
